Configuración de SCU con VPN de capa 3
Configuración de SCU en una VPN de capa 3
Figura 1 muestra una topología VPN de capa 3. CE1 y CE2 son enrutadores perimetrales de cliente (CE) conectados por una VPN a través de enrutadores de proveedor PE1, P0 y PE2. El EBGP se establece entre los enrutadores CE1 y PE1, el IBGP conecta los enrutadores PE1 y PE2 a través de un núcleo IS-IS/MPLS/LDP y fluye una segunda conexión EBGP entre los enrutadores PE2 y CE2.
En el enrutador CE1, inicie su VPN configurando una conexión EBGP a PE1. Instale una ruta estática y 10.114.1.0/24 anuncie esta ruta a su vecino EBGP.
Enrutador CE1
[edit]
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.20.250.1/30;
}
}
}
}
routing-options {
static {
route 10.114.1.0/24 reject;
}
autonomous-system 100;
}
protocols {
bgp {
group to-pe1 {
local-address 10.20.250.1;
export inject-direct;
peer-as 300;
neighbor 10.20.250.2;
}
}
}
policy-options {
policy-statement inject-direct {
term 1 {
from {
protocol static;
route-filter 10.114.1.0/24 exact;
}
then accept;
}
term 2 {
from protocol direct;
then accept;
}
}
}
En PE1, complete la conexión del EBGP con CE1 mediante una instancia de enrutamiento VRF. Establezca una política de exportación para la instancia de VRF que coloque el tráfico BGP en una comunidad y una política de importación que acepte tráfico de comunidad similar de su vecino VPN. Por último, configure una relación IBGP con el enrutador PE2 que se ejecute sobre un núcleo IS-IS, MPLS y LDP.
Enrutador PE1
[edit]
interfaces {
ge-0/0/1 {
unit 0 {
family inet {
address 10.20.250.2/30;
}
}
}
so-0/2/1 {
unit 0 {
family inet {
address 10.20.251.1/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.245/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/2/1;
}
bgp {
group ibgp {
type internal;
local-address 10.250.245.245;
family inet-vpn {
unicast;
}
neighbor 10.250.71.14;
}
}
isis {
interface so-0/2/1;
}
ldp {
interface so-0/2/1;
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
community red-com members target:20:20;
}
routing-instances {
red {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.250.245.245:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce1 {
local-address 10.20.250.2;
peer-as 100;
neighbor 10.20.250.1;
}
}
}
}
}
En P0, conecte los vecinos del IBGP ubicados en PE1 y PE2. Recuerde incluir protocolos relacionados con VPN (MPLS, LDP e IGP) en todas las interfaces.
Enrutador P0
[edit]
interfaces {
so-0/1/0 {
unit 0 {
family inet {
address 10.20.252.1/30;
}
family iso;
family mpls;
}
}
so-0/2/0 {
unit 0 {
family inet {
address 10.20.251.2/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.250.245.246/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
}
protocols {
mpls {
interface so-0/1/0;
interface so-0/2/0;
}
isis {
interface all;
}
ldp {
interface all;
}
}
En PE2, complete la relación del IBGP con el enrutador PE1. Establezca una conexión EBGP con CE2 mediante una instancia de enrutamiento VRF. Establezca una política de exportación para la instancia de VRF que coloque el tráfico BGP en una comunidad y una política de importación que acepte tráfico de comunidad similar del vecino de VPN. A continuación, establezca una política que agregue la ruta estática de CE1 a una clase de origen denominada GOLD1. Además, exporte esta directiva de SCU a la tabla de reenvío. Finalmente, establezca su vt interfaz como la interfaz de entrada SCU y establezca la interfaz so-0/0/0 orientada a CE como la interfaz de salida SCU.
Enrutador PE2
[edit]
interfaces {
so-0/1/1 {
unit 0 {
family inet {
address 10.20.252.2/30;
}
family iso;
family mpls;
}
}
so-0/0/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
output;
}
}
address 10.20.253.1/30;
}
}
}
vt-4/1/0 {
unit 0 {
family inet {
accounting {
source-class-usage {
input;
}
}
address 10.250.71.14/32;
}
family iso;
family mpls;
}
}
}
routing-options {
autonomous-system 300;
forwarding-table {
export inject-customer2-dest-class;
}
}
protocols {
mpls {
interface so-0/1/1;
interface vt-4/1/0;
}
bgp {
group ibgp {
type internal;
local-address 10.250.71.14;
family inet-vpn {
unicast;
}
neighbor 10.250.245.245;
}
}
isis {
interface so-0/1/1;
}
ldp {
interface so-0/1/1;
}
}
routing-instances {
red {
instance-type vrf;
interface so-0/0/0.0;
interface vt-4/1/0.0;
route-distinguisher 10.250.71.14:100;
vrf-import red-import;
vrf-export red-export;
protocols {
bgp {
group to-ce2 {
local-address 10.20.253.1;
peer-as 400;
neighbor 10.20.253.2;
}
}
}
}
}
policy-options {
policy-statement red-import {
from {
protocol bgp;
community red-com;
}
then accept;
}
policy-statement red-export {
from protocol bgp;
then {
community add red-com;
accept;
}
}
policy-statement inject-customer2-dest-class {
term term-gold1-traffic {
from {
route-filter 10.114.1.0/24 exact;
}
then source-class GOLD1;
}
}
community red-com members target:20:20;
}
En el enrutador CE2, complete la ruta VPN finalizando la conexión EBGP con PE2.
Enrutador CE2
[edit]
interfaces {
so-0/0/1 {
unit 0 {
family inet {
address 10.20.253.2/30;
}
}
}
}
routing-options {
autonomous-system 400;
}
protocols {
bgp {
group to-pe2 {
local-address 10.20.253.2;
export inject-direct;
peer-as 300;
neighbor 10.20.253.1;
}
}
}
policy-options {
policy-statement inject-direct {
from {
protocol direct;
}
then accept;
}
}
Verificación de su trabajo
Para comprobar que la SCU funciona correctamente en la VPN de capa 3, utilice los siguientes comandos:
show interfaces interface-name statisticsshow interfaces source-class source-class-name interface-nameshow interfaces interface-nameextensive( |detail)show routeextensive( |detail)clear interface interface-name statistics
Siempre debe comprobar las estadísticas de SCU en la interfaz de SCU saliente en la que configuró la output instrucción. Para comprobar la funcionalidad de SCU, siga estos pasos:
Borre todos los contadores del enrutador habilitado para SCU y verifique que estén vacíos.
Envíe un ping desde el enrutador CE de entrada al segundo enrutador CE para generar tráfico SCU a través de la ruta VPN habilitada para SCU.
Compruebe que los contadores se incrementan correctamente en la interfaz de salida.
En la siguiente sección se muestra el resultado de estos comandos utilizados con el ejemplo de configuración.
user@pe2> clear interfaces statistics all
user@pe2> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 0 0
Addresses, Flags: Is-Preferred Is-Primary
user@pe2> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 0 0
user@ce1> ping 10.20.253.2 source 10.114.1.1 rapid count 10000
user@scu> show interfaces source-class GOLD1 so-0/0/0.0
Protocol inet
Source class Packets Bytes
GOLD1 20000 1680000
user@scu> show interfaces so-0/0/0.0 statistics
Logical interface so-0/0/0.0 (Index 6) (SNMP ifIndex 113)
Flags: Point-To-Point SNMP-Traps Encapsulation: PPP
Protocol inet, MTU: 4470
Source class Packets Bytes
GOLD1 20000 1680000
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.253/24, Local: 10.20.253.1